Doctor Web:2016年9月病毒活动综述
2016.09.30
2016年9月份Doctor Web公司技术人员侦测到多个Linux恶意程序并对其进行了研究。月初病毒分析人员对一种用Rust语言编写的木马进行了研究,不久又侦测到一种用来进行DDoS攻击的Linux木马。此外,9月末还分析研究了一个新的DDoS木马家族,该家族能够在不同版本的Linux系统中运行。Doctor Web公司病毒分析人员还侦测到一种新的安卓恶意程序,该程序能够嵌入到系统进程。
9月主要趋势
- 出现一种用Rust语言编写的Linux木马
- 从事DDoS攻击的新Linux木马正在传播
- 出现能够嵌入到系统进程的安卓木马
本月威胁
用于服务攻击,即DDoS攻击(Distributed Denial of Service)的木马并不少见。其中一些DDoS木马不仅能感染Windows计算机,还会感染Linux计算机。Linux.Mirai就是这样一种恶意程序。
Doctor Web公司病毒分析人员早在2016年5月就对Linux.Mirai木马的首个版本进行了研究。该恶意程序添加到Dr.Web病毒库时命名为Linux.DDoS.87,会在х86、ARM、 MIPS、SPARC、SH-4和M68K架构的设备上运行,与Linux.BackDoor.Fgt家族恶意程序有相似之处(在2014年我公司就曾介绍过一个属于Linux.BackDoor.Fgt家族的恶意软件)。Linux.DDoS.87会在被感染设备上搜索其它恶意程序并运行中止其运行,并能够按照不法分子指令进行下列攻击:
- UDP flood;
- UDP flood over GRE;
- DNS flood;
- TCP flood (有多个变种);
- HTTP flood.
2016年8月初我公司技术人员又记录到这一恶意程序的新变种正在传播,并将其命名为Linux.DDoS.89。该木马与Linux.DDoS.87有许多相同点的同时,也有所不同。比如,该更新版本具有新的运行顺序和防止自我删除的机制,并从所支持类型的攻击列表中去掉HTTP flood。此外,Linux.DDoS.89还添加了一个新组件——telnet扫描仪,可用来查找网络中带有漏洞的设备并通过telnet协议未经授权连接此设备。 不久前,我公司技术人员侦测到该木马家族的另一个木马,将其命名为Linux.Mirai。该木马能够关闭防止操作系统死机的看门狗watchdog(用来禁止设备重启),并将HTTP flood重新添加到可执行攻击类型列表中。该恶意程序家族详情请参阅Doctor Web公司发布的病毒综述。
清除工具Dr.Web CureIt!统计数据结果
- Trojan.Zadved
是用于在浏览器窗口更换搜索系统输出结果以及在社交网站显示虚假弹出消息的插件。此外还包含木马功能,可更换各种网站显示的广告消息。 - Trojan.BtcMine.793
意在非法利用被感染计算机的计算资源以获取(开采)各种加密电子货币,例如比特币的恶意软件家族代表。 - Trojan.DownLoader
用于在受攻击计算机下载其他恶意应用程序的木马家族。 - Trojan.InstallCore.1903
一种不良应用程序和恶意应用程序安装器家族代表。
Doctor Web统计服务器收集的数据结果
- Trojan.Zadved
是用于在浏览器窗口更换搜索系统输出结果以及在社交网站显示虚假弹出消息的插件。此外还包含木马功能,可更换各种网站显示的广告消息。 - JS.Downloader
用JavaScript语言编写的恶意脚本家族,在电脑上下载和安装其他恶意软件。 - BackDoor.Bebloh.184
一种能够嵌入到其他应用进程并执行不法分子指令的后门木马。 - Win32.HLLW.Shadow
利用可移动载体和网络磁盘进行传播的蠕虫。此外,该木马还能够利用SMB标准协议进行网络传播,能够从控制服务器下载并启动可执行文件。 - Trojan.Bayrob.57
一种能够窃取机密信息并且在被感染的计算机上执行其他用户不需要操作的木马。
邮箱流量恶意程序统计
- JS.Downloader
用JavaScript语言编写的恶意脚本家族,在电脑上下载和安装其他恶意软件。 - W97M.DownLoader
利用办公软件运行漏洞的木马下载器家族。旨在向被攻击的计算机下载其他恶意软件。
Dr.Web Bot for Telegram的数据结果
- Joke.Locker.1.origin
锁定移动设备屏幕并显示Windows操作系统蓝屏(BSOD,Blue Screen of Death)的安卓玩笑程序。 - Android.Locker.139.origin
用于勒索用户钱财的安卓木马家族代表。此类恶意程序的各种变种能够显示烦人的消息,称用户似乎触犯了法律并因此锁定其移动设备,用户需要支付一定的金额进行解锁。 - Android.Backdoor.428.origin
用于执行不法分子指令的安卓木马家族代表。根据不同变种的功能,恶意程序能够执行发送短信、在浏览器打开指定URL、收集设备信息(包括联系人信息)、下载其他程序等操作。 - Android.Spy
感染安卓移动设备的多功能木马家族,能够读取并记录联系方式,接收并发送短信,确定GPS定位,读取并记录浏览器书签,获取移动设备IMEI信息及移动电话号码。 - Trojan.PWS.Spy.11887
一种能够窃取包括用户密码在内的机密信息的Windows木马家族代表。
木马加密器
9月份Doctor Web公司技术支持部门接收到的解密申请大部分来自以下木马加密器变种受害者:
- Trojan.Encoder.717 — 申请的25.64%;
- Trojan.Encoder.602 — 申请的21.53%;
- Trojan.Encoder.143 — 申请的5.11%;
- Trojan.Encoder.126 — 申请的4.51%;
- Trojan.Encoder.119 — 申请的4.26%.
Dr.Web Security Space 11.0 for Windows
抵御木马加密器
大蜘蛛基础版Dr.Web Anti-virus for Windows授权不包含此功能。
| 防止数据丢失 | |
|---|---|
 |  |
危险网站
2016年9月Dr.Web不推荐网站和恶意网站数据库新添298 985个互联网地址。
| 2016.08 | 2016.09 | 增幅 |
|---|---|---|
| + 245 394 | + 298 985 | +21,8% |
Linux恶意程序
9月上半旬,Doctor Web公司病毒分析人员对一种Linux恶意程序进行了研究,并将其命名为Linux.BackDoor.Irc.16。该木马的特点是采用Rust语言编写,分析人员之前还从未遇到过使用这种技术创建的木马。Linux.BackDoor.Irc.16能够使用文本消息交换协议IRC(Internet Relay Chat)获取不法分子的指令并执行。该木马更多详情请参阅Doctor Web公司专门编写的 概述。 随后技术人员又记录到另一种Linux木马正在传播:Linux.DDoS.93。该恶意程序用来进行DDoS攻击并执行不法分子的下列指令:
- 更新恶意程序;
- 下载并启动指令指定的文件;
- 自我卸载;
- 针对指定端口进行UDP flood攻击;
- 针对任意端口进行UDP flood攻击;
- 发动Spoofed UDP flood攻击;
- 发动TCP flood攻击;
- 发动TCP flood攻击(文件夹中记录有4096字节长度的任意数据);
- 利用GET请求发动HTTP flood攻击;
- 利用POST请求发动HTTP flood攻击;
- 利用HEAD请求发动HTTP flood攻击;
- 随机向255个IP地址发送指定参数的HTTP请求;
- 结束执行;
- 发送“ping”指令.
Подробнее о Linux.DDoS.93 рассказано в опубликованном нами обзорном материале.
Linux.DDoS.93详情请参阅我公司发布的 新闻。
移动恶意软件和不良软件
9月份,Doctor Web公司病毒分析人员侦测到Android.Xiny木马新版本正在传播,这些木马用来不经用户允许暗中下载并安装各种软件。侦测到的木马能够嵌入到系统应用进程并启动补充的软件模块。
9月份最值得注意的移动安全事件有:
- 出现了新的Android.Xiny家族木马代表,能够嵌入到系统应用进程并 启动恶意插件.
9月份移动病毒情况更多详情请参阅移动威胁综述